Подписать ключ PKI-сертификатом от интернет-банка
Возможно ли это?
Понятно что подписать можно любой текст прозрачной подписью, в том числе и любые ключи. Но хотелось бы чтобы такой ключ сохранился в стандартной связке. Это возможно? Было бы очень красиво.
(Web of Trust себя не оправдала – нужных мне людей в ней, конечно, нет. Поэтому хочу попросить их подписать свои PGP-ключи сертификатами от разных банков, благо сейчас они у всех (иностранцев) есть.)
OpenPGP и X.509 — несовместимые стандарты. Подписать OpenPGP-ключ сертификатом X.509 невозможно. Более того, оконечные сертификаты X.509 (в отличие от корневых и промежуточных) имеют запрет на сертификацию ключей.
что значит запрет? если есть публичный и секретный ключи то что может помешать пользователю сделать подпись?
сертификат это же просто подписанный кем-то публичный ключ
Это значит, что есть определённые нормы стандарта, в частности, понятие constraints. Разумеется, Вы, математически, вольны делать с ключом всё, что угодно (хоть преобразовать его в сертификат OpenPGP), только это уже не будет иметь к X.509 PKI никакого отношения.
Ну типа как ладьёй ходить по диагонали :)
Понятно
Мне это нужно не в рамках корпоративного стандарта а чтобы Васю из Белфаста аутентифицировать сидючи на Алтае
У PGPCorp есть спецификация по паковке иерархий сертификатов X.509 в формат, совместимый с OpenPGP. Только кроме PGP её никто не поддерживает.
Но идут работы по стандартизации схожих решений:
Using OpenPGP Keys for Transport Layer Security (TLS) Authentication[link1]
И ещё неизвестно кто в итоге чего не оправдает.
В GnuTLS поддержка уже есть, по-моему.
Ага[link2], точно. Осталось встроить в браузеры и почтовые программы (и соотвественно была бы поддержка на серверах), чтобы была возможность хотя бы для тех, кому это нужно.